Deutsche Ermittler verkünden einen Schlag gegen international agierende Cyberkriminelle: Am Donnerstag seien bei einer Aktion in Rheinland-Pfalz und anderen Staaten mit mehreren Hundert Einsatzkräften sieben Tatverdächtige festgenommen worden, teilte das Landeskriminalamt mit. Darunter seien Betreiber eines "kriminell betriebenen Rechenzentrums". Die Mehrzahl der Personen sei in Rheinland-Pfalz festgenommen worden, sagte ein Sprecher der SZ.
Ein im nördlichen Rheinland-Pfalz betriebener Server sei vom Netz genommen und sichergestellt worden. Das Rechenzentrum sei in einem "Bunker" betrieben worden. Bei den Verdächtigen handle es sich um Mitglieder einer international agierenden Bande.
Hacker:Tagsüber Spionage, abends Banküberfall
Die neu entdeckte Hackergruppe APT41 geht ungewöhnliche Wege: Sie spioniert nicht nur - mutmaßlich für China- , sondern hat auch noch einen kriminellen Nebenjob.
Der Betrieb eines Rechenzentrums ist nicht strafbar. Ein LKA-Sprecher hatte am Donnerstagabend aber gesagt, gegen die Festgenommenen werde wegen Waffenhandels, Kinderpornografie und Drogenhandels ermittelt. "Alles, was man sich im Darknet vorstellen kann", sagte ein Sprecher des Polizeipräsidiums Trier. Die Festnahmen seien das Ergebnis mehrjähriger Ermittlungen des LKA und anderer Behörden.
Haftbefehle wegen Verdunklungsgefahr
Ermittelt werde gegen zwölf Männer und eine Frau. Haftbefehle gibt es gegen vier Niederländer, einen Bulgaren und zwei Deutsche - wegen Flucht- und Verdunklungsgefahr. Sichergestellt wurden der Polizei zufolge etwa 200 Server, Dokumente, Datenträger, Mobiltelefone und "eine größere Summe Bargeld".
Die Ermittler sehen das Rechenzentrum als "Bulletproof-Hoster", wie es in der Szene heißt: "Der besondere Service eines derartigen Hosters besteht darin, den Kunden Schutz vor staatlichem Zugriff zu bieten und so Ermittlungen zu vereiteln."
Das Darknet ist ein abgeschirmter Teil des Internets, in dem sich Menschen anonymisiert bewegen können. Manche nutzen das für kriminelle Handlungen aus. Die Polizei muss erheblichen technischen und personellen Aufwand betrieben, um im Darknet etwa Dealer aufzuspüren.
Das Rechenzentrum soll bei zwei spektakulären Cybercrime-Fällen der vergangenen Jahre genutzt worden sein. Von ihm aus sei dem LKA zufolge der weltweit zweitgrößte Darknet-Marktplatz "Wall Street Market", betrieben worden, den Ermittler im Frühjahr zerschlagen hatten, sowie die mutmaßlich kriminellen Foren "Cannabis Road" "Fraudsters" und "Flugsvamp 2.0". Über die Online-Plattform wurden neben Rauschgift unter anderem auch ausgespähte persönliche Daten, gefälschte Dokumente und Schadsoftware verkauft, wie es damals hieß.
Was das Mirai-Botnet anrichtete
Auch ein Angriff des sogenannten "Mirai"-Botnetzes auf Telekom-Router vor drei Jahren sei von dem Rechenzentrum ausgegangen, teilte das LKA mit.
Ein Botnet ist ein zentral gesteuertes, aber global verteiltes Netz aus Geräten, die mit dem Internet verbunden sind. Der "Herr" des Botnetzes schleust eine Schadsoftware in hunderte oder gar hunderttausende Geräte wildfremder Menschen ein und übernimmt die Kontrolle über sie. Ohne dass ihre Besitzer es merken, nutzt er die Kapazitäten dieser Webcams oder Router, um seine Ziele anzugreifen. Wenn zu viele der Geräte zum Beispiel auf eine Webseite zugreifen, bricht diese zusammen. So können die Herrscher über die Bots theoretisch die Internet-Infrastruktur ganzer Staaten lahmlegen und sie aus dem weltweiten Internet kegeln.
Im Fall des Mirai-Botnetz fielen am ersten Adventssonntag 2016 mehr als eine Million Router von Telekom-Kunden in Deutschland aus. Die Infektion mit Schadsoftware hatte sie lahmgelegt - allerdings konnte der Täter sie dabei nicht übernehmen. Dafür wurde 2017 ein 29-jähriger Brite verurteilt. Weil er Reue zeigte und sich bei den Telekom-Kunden entschuldigt hatte, wurde er zu einem Jahr und acht Monaten auf Bewährung verurteilt. Die Ermittler gehen nun davon aus, dass der Angriff über einen Server in dem Rechenzentrum in Rheinland-Pfalz gesteuert wurde.
Die Razzien finden vor dem Hintergrund einer Debatte statt, schon den Betrieb von Zugängen zum Darknet unter Strafe zu stellen - sogenannten Tor-Nodes, die das anonyme Surfen ermöglichen. Der Bundesrat hat im Mai einen entsprechenden Gesetzentwurf eingebracht. Kritiker sehen ihn als Versuch, die gesamte Tor-Szene zu kriminalisieren, die sich für diese überwachungsfreie Variante des Internet-Surfens einsetzt.